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NOVELTY - System for controlling electronic data access where a 
data archive is controlled by a third party and a first party deposits 
data files in an archive that can then be searched by an authorized 
second party. 

DETAILED DESCRIPTION - Secure system comprises: a first agent 
program that allows a computer to deposit a data file in a data 
archive, a second agent program that allows a user computer access 
rights to the electronic data file in the archive. An authorization 
list for the data file is produced and managed by the provision (first) 
agent program. An access right list can be accessed using the second 
(user) agent program. Means are provided to allow the provider computer 
to send access rights to the user computer or to alter its access 
rights. Means are also provided to allow the provider computer to check 
the access rights of the user computer before it has free access to the 
data file using the second agent program. 

USE - Access to electronic data files stored in a third party 
archive using an access control procedure. 

ADVANTAGE - Existing systems to not have means to allow the file 
provider to encrypt or password protect data files. The system 
overcomes this drawback by providing an encryption method that can be 
administered by a third party, but in which the file originator 
controls the encryption setting. 

DESCRIPTION OF DRAWING (S) - Figure shows a schematic system for 
controlling access to documents stored by a third party 
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Die f olgenden Angaben sind dan vom Anmaldar eingaraichtan Untarlagan antnomman 

Prufungsantrag gem. § 44 PatG ist gestellt 

(S) System fur ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen 
von Daten 

@ Wenn ein elektronisches Dokument zur Revision durch 
andere Stellen verfugbar gemacht wird, ist es oft vorteil- 
haft, das Dokument in einem von einer dritten Partei ver- 
watteten Archiv oder einer von einer dritten Partei verwal- 
teten Datenbank zu speichern. Es wird ein System zur Ver- 
fugung gestellt, in dem die Stellen, die vom Urheber ei- 
nes Dokuments die Berechtigung zum Zugriff auf dieses 
Dokument im Datenarchiv erhalten ha ben, sicher nach 
dem tm Archiv einer dritten Partei aufbewahrten Doku- 
ment suchen konnen, ohne dass sie darauf vertrauen 
mussen, dass der Verwalter des Archiv sichere Informati- 
on uber ihre Zugriffsrechte liefert Der Dokumenturheber, 
der Arch iwerwa Iter und alle Stellen, die Zugriffsrechte 
auf Daten im Archiv besitzen, haben Tresorumgebungen, 
■ die sichere Erweiterungen ihrer betreffenden Arbeitsbe- 
I reiche sind. Der Tresor des Dokumenturhebers verwaltet 
fur jedes im Archiv deponierte Dokument eine Zugriffs- 
kontroil-Uste (ACL). Der Tresor jeder Stelle, die Zugriffs- 
rechte auf Dokumente im Archiv besitzt, verwaltet eine 
Fahigkeltsliste der Zugriffsrechte der betreffenden Stelle 
auf alle im Archiv gespeicherten Dokumente. Die Stelle 
selber bewahrt auf ihrem eigenen Arbeitsplatz einen Be- 
weis der nauesten Version ihrer Fahigkeitslista auf. Wenn 
die ACL fur ein Dokument im Tresor des Dokumenturhe- 
bers aktuallsiert wird, steitt der Tresor des Urhebers fest, 
welche Stellen von der Anderung betroffen sind, und 
ubertragt die Anderungen an die Tresore der betroffenen 
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Beschreibimg 

Gegenstand der Erfindung 

Die vorliegende Erfindung betrifift das Gebiet der elektro- 5 
nischra Datenspeicherung und liefert speziell ein sicheres 
Datenarchiv- und -austauschsystem, das von einer dritten 
Partei, die die Funktion eines Verwalters ausubt, verwaltet 
wird, und in dem eine ZugrifFskontroUe beim Suchen und 
Abrufen von Daten eizwungen wild. lO 

Hinteignind der Erfindung 

Neuere parallele Fortschritte in der Netzwerkkommuni- 
kation und der PKI-Technologie (public key infrastructure - 15 
Infrastruktur oflfentlicher Schliissel) haben bewirkt, dass 
Untemehmen und Institutionen beginnen, elektronische Do- 
kumentation zur Aufzeichnung und fur lYansaktionen jegli* 
cher Art einzusetzen. Mit Verbesseningen bei der IntegritSt 
und Sicberfaeit der t)bertragung kann zuversicbtlich davon 20 
ausgegangen werden, dass Dokumente, die elektronisch 
uber das Intemet und andere offene Netzwerke gesendet 
weiden, intakt und unverfalscht ankominen. Datenbankv^- 
waltungssysteme, die mit modemen Computerspeichem mit 
einer Kapazitat von mehreren Gigabyte gekoppelt sind, ha- 25 
ben es Untemehmen und Institutionen ermoglicht, auf die 
Aufbewahrung von Dokumenten in Papierform zu verzich- 
ten, deren Masse Immobilienkosten verursacht. 

lypischerweise mussen Daten, die von einer Stelle stam- 
men, aus verschiedenen Griinden an eine andere ubertragen 30 
werden, z. B. zur Aufbewahrung, zur Priifung usw. Die Da- 
tenelemente konnten in Form unstnikturierter Dokumentda- 
teien oder strukturierter Datensatze vorliegen wie z.B. 
Konto- und andere Hnanzinfonnationen. Im Beispiel un- 
strukturierter Daten kann es notwendig sein, ein Dokument 35 
zum Zweck der Prttfung vom Ursprungssystem an andere 
Computer im gleichen System oder an Computer auf ande- 
ren Systemen zu schicken. Dies konnte gleichermaBen in ei- 
ner Geschaftssituation (z. B. einem Vorschlag fiir ein Joint 
Venture oder einer komplexen Angebotsausschreibung) wie 40 
auch in einer Institution (z. B. wenn eine Dissertation von 
akademischen Beratem iiberpriifl wird, bevor sie einer Pru- 
fungskonunission vorgelegt wird) vorkommen. Das Doku- 
ment ist elektronisch erstellt worden, da auf diese Weise 
t)berarbeitungen und Einfiigungen (speziell wenn sie um- 45 
fangreich sind) leicht eingearbeitet werden konnen, ohne 
dass jedesmal das gesamte Dokument neu getippt werden 
muB. 

Wenn das Dokument in elektronischer Form vorliegt, 
kann es auch leichter uberprlift werden, weil es in dieser 50 
Form leichter zu ubertragen ist. \brgesehene Betrachter 
konnen feststellen, dass ein Dokument verfugbar ist, indem 
sie das System durchsuchen, nachdem ihnen der Zugriff auf 
den Speicjierort des Dokuments gewahrt. worden ist. 

Es gibt mehrere Grunde, z. B. Sicherheit, Datenintegritat 55 
und System- oder NetzwerkverfUgbarkeit, weshalb der Do- 
kumenturheber ein Dokument nicht lokal speichem will, 
wenn dies bedeutet, dass hinter der Firewall Dritten Zugriff 
gewahrt wird Diese Grtinde werden in unserer gleichzeitig 
eingereichten Patentanmeldung mit dem Utel "System for 60 
Electronic Repository of Data Enforcing Access Control on 
Data Retrieval" (IBM Docket No. CA998-030), das gemein- 
sam ubertragen wurde und hiermit durch Bezugnahme des 
vorliegenden Dokuments ist, ausfiihrlicher beschrieben. 

Unsere gleichzeitig eingereichte Anmeldung betrifft ein 65 
System, in dem die Integritat der und der Zugriff auf die in 
einem Archiv gespeicherten Daten unabhangig von Aktio- 
nen der als Verwalter des Archivs agierenden dritten Partei 
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verwaltet wird. 

Die in der genannten Anmeldung beschriebene Erfindung 
ist bei Systemen mit einer groBen Anzahl von Dokuments, 
die fiir eine groBe Anzahl von Benutzem zuganglich sind, 
sehr eflizient, da die Information uber den autorisierten Zu> 
giiff auf die Dokumente an einer einzigen, zentralen Stelle 
gespeichert werden, und zwar im Archiv selber Benutzer 
erhalten durch systemexteme Mittel sicheie Kenntnis ihres 
Zugriffs auf Dokumente. 

Die vorUegende Erfindung ist eine Abwandlung, in der 
das System selber die Information dber den autorisierten 
Zugriff enthalt, die auch sichar vor Akdonen der als \ferw al- 
ter des Aichivs agierenden dritten Partei ist 

Kurzbeschreibung der Erfindung 

Es ist deshalb eine Aufgabe der vorliegenden Erfindung, 
ein System zur elektronischen Speicherung und zum elek- 
tronischen Austausch von Dokumenten zur Verfugung zu 
stellen, in dem die Dokumente physiscb in einem von einer 
dritten Partei verwalteten Archiv gespeichert werden, in 
dem die Benutz^ aber suchen konnen, um festzustellen, auf 
welche Dokumente im Archiv sie zugreifen konnen. 

Eine weitere Aufgabe der Erfindung besteht darin, ein Sy- 
stem zur Verfugung zu stellen, in dem die Integritat der im 
Archiv gespeicherten Informationen uber autorisierte Zii- 
griffe im System verfiigbar, aber nicht von Aktionen der 
dritten Partei, die das Archiv verwaltet, abhangig isL 

In einem Aspekt hat die vorUegende Erfindung also ein si- 
cheres System zum Suchen elektronischer Datendateien in 
einem Datenarchiv zum Ziel. Das System besteht aus einer 
Kommunikationsumgebung, in der ein erstes Agentenpro- 
gramm fiir einen Computer, der eine elektronische Datenda- 
td im Datenarchivsystem deponiert, und ein zweites Agen- 
tenprogranmi fur einen ersten Benutzercomputer mit Zu- 
griffsrecht auf die elektronische Datendatei vorhanden ist. 
In einer Nachweisliste fiir die elektronische Datendatei sind 
ZugriffskontroUen fur die elektronische Datendatei aufge- 
fiihrt. Die Nachweisliste ist fur ein erstes Agentenprogramm 
zuganglich und wird von diesem verwaltet. Der erste Benut- 
zercomputer besitzt eine Aufzeichnung seiner Zugriffs- 
rechte auf die elektronische Datendatei, die fiir das zweite 
Agentenprogramm zuganglich ist und von diesem verwaltet 
wird. Wenn an der NachweisUste Anderungen voigenom- 
men werden, die die Zugriffsrechte des ersten Computers 
auf die elektronische Datendatei betreffen, werden diese 
Anderungen vom ersten Agentenprogramm an das zweite 
Agentenprogramm ubertragen, so dass die Aufzeichnung 
des ersten Benutzercomputers fiber seine Zugriffsrechte ak- 
tualisiert werden kann. Das erste Agentenprogramm ist auch 
in der Lage, die Zugriffsrechte des ersten Benutzercompu- 
ters auf die elektronische Datendatei zu priifen, bevor die 
elektronische Datendatei fur das zweite Agentenprogramm 
fireigegeben wird. 

In einem weiteren Aspekt bietet die Erfindung ein Verfah- 
ren fiir eine sichere elektronische Datensuche in einem elek- 
tronischen Datenarchiv in einem System mit einer Nach- 
weisliste, in der Zugriffsrechte auf (tie elektronische Daten- 
datei im Datenarchiv aufgefUhrt sind, und einer Aufzeich- 
nung, in der Dokumentzugriffsrechte fur jeden Computer 
mit Zugriff auf die im Archiv gespeicherten elektronischen 
Daten aufgefiihrt sind. Das Verfahren besteht aus der Aktua- 
lisierung einer Nachweisliste fiir eine im Archiv gespei- 
cherte elektronische Datendatei, der Identifikation aller von 
der Aktualisierung betroffenen Computer mit geandertem 
Zugriffsrecht auf die elektronische Datendatei, die Ubertra- 
gung der Anderung des Zugriffsrechts an alle betroffenen 
Computer, die Aktualisierung der Zugriffsrecht-Aufzeich- 
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nungen aller betroffenoi Computer und die Obeitragung der 
aktualisierten Zugriffsrecht-Aufzeichnungen an die betrof- 
fenen Computer. 

In einem weit^en Aspekt bietet die Erfindung ein siche- 
res System zum Suchen in einem Datenarchivsystem ge- 5 
speicberter elektronischer Daten, das Mittei besitzt, urn ei- 
nen Nachweis zu fuhren, in dem ZugrifFskontrolIen fur jede 
im Archiv gespeicherte elektronische Datendatei aufgefUhrt 
sind, und auSerdem Mittei, um den Zugriff auf jeden Nach- 
weis auf einen Computer mit Deponierungsrecht zu be- 10 
schr^en, Mittei, um eine Auteichnung zu fuhien, in der 
Zugriffsrechte auf die elektconischen Datendateien fiir jeden 
Computer mit ZugrifTsrecht auf mindestens eine elektroni- 
sche Datendatei im Datenarchiv aufgefUhrt sind, und Mittei 
zum Aktualisieren der Aufzeichnung fur jeden Computer, 15 
der von einer Zugriffsrechtanderung in einem Nachweis be- 
trofFen ist. 

In der Erfindung werden auch Datentrager bereitgestellt, 
die mit Programmcode zur Realisierung des oben beschrie- 
benen Systems oder Verfahrens codiert sind. 20 

Kurzbeschreibung der Zeichnungen 

Im folgenden werden AusfUhrungsbeispiele der Erfin- 
dung ausfUhrlich in Verbindung mit den beigefugten 2jeich- 25 
nungen beschrieben. Die Zeichnungen haben folgenden In- 
halt: 

Fig. 1 ist eine Schemazeichnung von einem Dokumentar- 
chivsystem, das von einer dritten Partei verwaltet wird. 

Fig. 2 ist eine Schemazeichnung, ahnlich wie Fig. 1, in 30 
der ein TVesor-Dokumentarchivsystem dargestellt ist, das in 
der bevorzugten Ausfuhrungsform der vorliegenden Erfin- 
dung verwendet wird. 

Fig. 3 ist ein FluBdiagramm des Dokumenterstellungsver- 
fabrens gemaB der Erfindung. 35 

Fig. 4, bestebend aus Fig. 4A und Fig, 4B ist ein RuBdia- 
gramm des Dokumentabiufverfahrens gemaB dor Erfindung. 

Fig. 5A und 5B sind FluSdiagramme eines Verfahrens, ' 
gemSB der bevorzugten Ausfiihrungsform der Erfindung, 
das fur die Unveranderlichkeit der ZugriffskonUrolle fur Do- 40 
kumentsuche und -abruf sorgt. 

Fig. 6 schlieBlich ist ein RuBdiagramm eines erfindungs- 
gemaBen Verfahrens zur Zuordnung von Hgnerzugrififs- 
rechten auf gespeicherte Dokumente. 

45 

AusfUhriiche Beschreibung der bevorzugten Ausfuhrungs- 
formen 

Bine konventionelle Anordnung Hir ein Dokumentarchiv- 
system, bei dem eine dritte Partei als Verwalter agiert, ist in 50 
Fig. 1 daigestellt Ein Dokumenturheber 100 kann Doku- 
mente iiber seine Verbindung 102 mit einem femen Doku- 
mentarchivdienst 104, z. B. einer von einer dritten Partei 
verwalteten Datenbank, deponieren. Als Eigner der depo- 
nierten Dokumente kann der Urheb«: 100 Zugriffsrechte auf 55 
die Dokumente zuweisen. Der Urheber eines Dokuments 
kann beispielsweise festlegen, dass ein Geschaftspartner 
106 die "Lese"-Berechtigung hat, d. h. dass er das Doku- 
ment iiber seine Verbindung 108 mit dem Dokumentarchiv- 
dienst 104 abrufen, aber nicht andem darf. 60 

In solchen konventionellen Systems ist das vom Urhe- 
ber 100 deponierte Dokument normalerweise nicht ver- 
schlQsselt, so dass der Gescbaftspartner 106 das Dokument 
auf Verlangen prufen kann. Der Grund dafiir ist, dass es 
nach dem Stand der Technik Probleme mit der Dechifi&ie- 65 
rung von Dokumenten gibL Fiir die Dechif&ierung eines 
Dokuments ist der Zugriff auf den privaten Schlussel des 
Dokumenturhebers 100 erforderlich. Um den Zugriff auf 
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seinen privaten SchlQssei zu ermdglichen, muB der Doku- 
menturheber 100 entweder selber zu alien Zeiten, zu denen 
mdglicherweise eine Dechiffrierung angefordert werden 
kdnnte, online erreichbar sein, um die Dechiflfirierung selber 
vorzunehmen (die Frage der Systemverfugbarkeit), oder er 
muB im voraus einen Plan entwickeln, um seinen privaten 
Schlussel dem Gescbaftspartner 106 direkt oder iiber einen 
vertrauenswiirdigen I^xy-Serv^ (nicht dargestellt) zu- 
kommen zu lassen. 

In der US-Patentschrift Nr. 5,491,750 der Intemadonal 
Business Machines Corporation, mit dem Utel "Method and 
Apparatus for Three-Party Entity Authentication and Key 
Distribution Using Message Authentication Codes", wird 
ein System beschrieben, das die Verteilung privater Sit- 
zungsverwaltungsschliissel ermogUcht, die von zwei oder 
mehr Kommunikationspartnem gemeinsam benutzt werden 
konnen, nachdem die Konmiunikationspartner durch einen 
vertrauenswiirdigen Vermittler authentifiziert worden sind. 
Die so erzeugten Schliissel und andere ahnliche sind aber 
kurzlebig und ihre Verwendung sollte auf das absolut Not- 
wendige beschrankt werden. Es ist nicht klai; dass ein sol- 
ches KoDzept geeignet ware, Dechiffiierschlussel in einem 
Dokumentrevisionssystem nut einem dauerfaaftoi Doku- 
mentarchiv sicher zwischen Korrununikationspartnem zu 
iibertragen. 

In konventionellen Systemen, in denen Dokumente fiir ei- 
nige Zeit deponiert werden und nicht chiffriert sind (Fig. 1), 
muB darauf vertraut werden, dass die dritte Partei, die den 
Archivdienst 104 verwaltet, die Integritat des Dokuments 
bewahrt. 

Das Dokumentarchivsystem in der bevorzugten Ausfiih- 
rungsform der vorliegenden Erfindung ist mit dem Produkt 
IBM Vault Registry erstellt, das Gegenstand der US-Patent- 
anmeldung Nr. 980,022 mit dem Utel "Secure Server and 
Method of ()peration for a Distributed Information System", 
eingereicht am 26. November 1977 und der IBM Corpora- 
tion ubertragen, ist. U. S. Die Patentschrift Nr. 980,022 ist 
hiermit durch Bezugnahme Teil des vorliegenden Doku- 
ments. Das Produkt IBM Vault Registry bietet eine erwei- 
terte Webserver-Umgebung, die eine sichere Erweiterung, 
einen sogenannten Tresor, der Klientenumgebung imple- 
mentiert. Dieses System vertraut auf die im Hinteigrund der 
Erfindung beschriebene modeme Obertragungstechnologie, 
dass die elektronische tJbertragung von Dokumenten und 
anderen Daten intakt und fehler&ei ankonmit. Ressourcen in 
einem Client-Tresor sind nur verfugbar, wenn der Zugriff 
vom Client mit einer starken Authentifizierung mit Hilfe 
von zertifizierten offendichen Schliisseln erfolgt. Abhangig 
von der Umgebung kann der Zugriff fiber den Web-Browser 
des Client erfolgen. 

Der Informationsgehalt des TVesors ist aus Griinden d^ 
Vertraulichkeit chiffriert. Jeder TVesor auf einem Server be- 
sitzt einen eindeutigen Chiffrierschlussel und Mechanis- 
men, die den Zugriff auf die Schliissel verhindem, sofem er 
nicht iiber den vom Eigner des TVesors genehmigten vertrau- 
enswOrdigen Pfad, z. B. einen Browser, erfolgt. Programme, 
die in einem Tresor laufen, sind durch Betriebssystemdien- 
ste isolieit, um foigendes zu gewahrleisten: 

a) dass sie in einem Prozefi mit einer Systemidentitat 
(einem virtuellen Logon) laufen, so dass die Identitat 
abhangigen Prozessen zur Verfiigung steht, ohne dass 
eine Anderung durch ein im IVesor laufendes Pro- 
gramm moglich ist; 

b) dass sie auf den Dateninhalt des TVesors, in dem sie 
laufen, zugreifen k5nnen - aber auf keinen anderen; 

c) dass sie vom Eigner des TVesors fiir die Ausfuhrung 
im Tresor genehmigt werden; und 
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d) dass sie signiert sind, um Manipulationen und Ad- 
griffe duich sog. "IVojanische Pferde** zu verhindem. 

Programme^ die in einem TYesor laufen, konnen Informa- 
donen in dem gleichen Tresor oder in anderen IVesoren, die 
gegenseitig sicheren Zugriff ihre dffentiichen SchlQssel ha- 
ben, deponiert werden. Nonnalerweise befinden sich diese 
lYesore auf dem gleichen TVesorserver, sie k5nnen aber auch 
auf verschiedenai TVesorservem mit Zugrifif auf einc ge- 
meiosame Zertifizieningsstelle liegen, die die Information 
zum 5ffentlichen SchlOssel liefert. Im Zusammenhang mit 
einem IVesorardiiv kann "deponieren** verschiedenes be- 
deuten. In einer Implementierung kann "deponieren" die 
Chil¥nerung dtr Daten im Chiffirierschltissel des Zieltresors 
und die Signierung der Daten im Signierschlussel des depo- 
nierenden Tresors bedeuten. Ibesorprogramme konnen nicht 
direkt auf Chiffrier- oder Signi^^hliissel zugreifen. Dies 
geschieht uber eine API. Optional kann die "Deponi^ungs"- 
Funktion Informationen in eine Warteschlange im Zieltresor 
schreiben. Eine andere Option bietet einen "Deponienmgs- 
beweis", der bestatigt, dass die Information dq)omert 
wuide, und dass ein Pkogramm im Zieltresor die Daten ge- 
ofifoet hat All diese **Deponierungs'*-Funktionen bieten ein 
MitteU um foformationen so zwischen IVesoren auszutau- 
schen, dass: 

a) ihr UrsprungsprozeB nicht geleugnet werden kann; 

b) ihr Inhalt nicht von denen, die die InterprozeBkom- 
munikationspufifer inspizi^en, eingesehen werden 
kann; und 

c) die Zustellung gewahrleistet ist. 

Wenn eine Anwendung keine Daten in die Warteschlange 
des Zieltresors stellen will, kann sie sich dafiir entscheiden, 
die Information in einer Datei oder Datenbank zu speichem 
oder andere Systemdienste zu benutzen, die die Daten als 
"unduichsichtiges" Element behandeln konnen (z. B. Sma- 
lisierung fiir die Foitdauer des Objekts). Diese undurchsich- 
tige Information kann mit Standardverfahren zum Zweck 
der Sicherung und Wiederherstellung verwaitet werden. Ihr 
Inhalt kann jedoch nur von einem im Kontext des Eignertre- 
sors laufenden Programm mit Hilfe der Sicherverwahrungs- 
Anwendungsprogrammschnittstelle dechiffriert werden. 
Mit dem Produkt IBM Vault Registry wurde die bevorzugte 
AusfiihruDgsform der Erfindung entwickelt wie in Fig. 2 
schematisch daigestellt 

Wie in dem System aus Fig. 1 kann auch in dem in Fig. 2 
daigesteUten Konzept ein Dokumenturfaeber 200 Doku- 
mente Uber seine Veibindung 202 zu einem Dokumentar- 
chivdienst 204 Dokumente deponieren und als Eigner der 
deponierten Dokumente dritten Parteien 206, z. B. Ge- 
schaftspartnem, die iiber ihre eigenen Netzwerkverbindun- 
gen 208 auf die Dokumente im Dokumentarchivdienst 204 
zugreifen konnen, ZugrifTsrechte auf die Dokumente zuord- 
nen. Anders als bei dem oben beschriebenen System sind 
die Benutzer des Dokumentarchivsystems aber nicht ge- 
zwungen, darauf zu vertrauen, dass die dritte Partei die Inte- 
gritat der im Archiv hinterlegten Dokumente bewahrt 

Das Dokumentarchivsystem 204 in der bevorzugten Aus- 
fiihrungsform besteht aus zwei Komponenten, einem An- 
wendungsserver 210 und einem IVesor-ControUer 214. Der 
Anwendungsserver (AS) ist dn Programm zur Verwaltung 
des Datenbankarchivs 212, das sich auf dem gleichen Sy- 
stem Oder auf einem femen System in einem abgeschlosse- 
nen Netzwerk befindet Der TVesor-Controller 214 enthalt 
mehrere Komponenten: Benutzertresore 216, 218, die indi- 
viduell den Dokumenturhebem 200 und Geschaftspartnem 
206 zugeteilt sind, einen AS-Tresor 220, der dem Anwen- 



dungsserver 210 zugeteilt ist, und ein TVesor-Oberwa- 
chungsprogramm 222. 

Ein Benutzertresor 216 oder 218 ist nur ftir den Benutzer 
(Dokumenturheber 200 oder GeschSftspartner 206) zugang- 
5 lich, dem der Tresor zugeordnet ist, und nur nach ordnungs- 
gemaBer Authentifikation. Die einzelnen IVesore haben kei- 
nen direkten 2^griff auf die Dokumentdatenbank 212; der 
Zugriff exfolgt Uber den AS-lVesor 220 und den Anwen- 
dungsserver 210. 

to Die Anwendungsserver-Komponente 210 lauft nicht auf 
einer vertrauenswUrdigra Computeibasis, sondem kann auf 
jeder beliebigen Plattform ausgefiihrt werden. Der Anwen- 
dungsserver besitzt eine Gegenkomponente, die im AS-lVe- 
sor 220, der ihm im TVesorserver 214 zugeteilt ist, ISuft. Der 

IS AS-Tresor 220 kann mit dem Anwendungsserver 210 kom- 
munizieren und hat iiber den Anwendungsserver Zugrifif auf 
die Dokumentdatenbank 212. 

Fig. 3 ist ein FluBdiagramm des Dokumenteristellungs- 
prozesses gemSfi der bevorzugten AusfUhmngsform der Er- 

20 findung. In der Umgebung von IBM Vault Registry ist ein 
personlicher TVesor im Prinzip eine sichere Erweiterung der 
Umgebung des Itesoreigners. Die Interaktion zwischen den 
ProzeBschritten in Fig. 3 ist deshalb zwisdien den Tresoren 
des Dokumenturfaebers und des Anwendungsservers daige- 

25 steUt. 

Wenn ein Dokument in dem Datenarchiv erstellt wird, 
wird es zuerst vom Arbeitsplatz des Benutzers, der es er- 
stellt hat oder sein Urheber ist, in den personlichen TVesor 
des Benutzers (Dokumenturfaebers) gesendet (Block 300), 

30 wo das Dokument mit dem privaten Signierschlussel des 
Benutzertresors "signiert" wird (Block 302). 

Mit einer elektronischen Signatur eines Datenelementes 
garantiert der Signierende die Integritat des Datenelemen- 
tes. Eine Signatur kann berechnet werden, indem zuerst dn 

35 Digest des Datenelementes berechnet wird. Das Digest ist 
eine reladv kleine Struktur (z. B. 128 Bit fUr eine MD2- oder 
MDS-Zusammenfassung) mit bestimmten Eigenschaflen, 
um die Sicherheit zu gewahrldsten. Erstens ist sie eine Ein- 
wegfunktion, d. h. aus einem Digest kann das Originaldoku- 

40 ment, aus dem es hervorgegangen ist, nicht reproduziert 
werden. AuBerdem ist es unmoglich (oder computertech- 
nisch nicht machbar), zu einem Digest ein zweites \for-Bild 
zu finden, das das gleiche Digest hat. Femer ist das Digest 
auch kollisionsresistenL Das helBt, es ist aufierst unwahr- 

45 scheinlich, dass zwd verschiedene Vor-Bilder das gleiche 
Digest erzeugen. 

Das Digest des Datenelementes wird dann mit dem priva- 
ten Signierschlussel der Benutzertresoranwendung chiffriert 
(Block 304). In der bevorzugten AusfUhmngsform wird so- 

50 wohl ein symmetrisches als auch ein asymmetrisches Kryp- 
toghraphieverfahren mit offentlichem SchlUssel benutzt. 

Bei der Kryptographie mit offentlichem Schlussel besitzt 
eine Anwendung zwei Schlussel, einen ofifendich^ und ei- 
nen privaten, die als Schlusselpaar bezeichnet werden. Der 

55 private Schlussel wird von der Anwendung lokal gespei- 
chert und wird weiter unten ausfiihrlicher beschrieben. Der 
offendiche Schlussel ist fiir alle Benutzer zuganglich, in der 
Regel iiber einen Vdrzeichnisdienst, z. B. X500. Die Vertei- 
lung aifentlicher SchlOssel ist in Fachkreisen bekannt und 

60 wird in der vorliegenden Spezifikation nicht wdter erl^utert. 
Wenn eine Kryptographie mit dffentlichem SchlUsse 1 
verwendet wird, kann dn mit dem offendichen Schlussel 
chiffriertes Datenelement nur mit dem zugeh5rigen privaten 
SchlUssel dechififriert werden. Entsprechend kann ein mit 

65 dem privaten Schlussel chifi&iertes Datenelement nur mit 
dem oflfentlichen Schlussel dechiffriert werden. 

In einer Technologie mit symmelrischem Schlussel wird 
fur Chiffriening und Dechiffrienmg derselbe SchlUssel ver- 
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wendet. In der derzeitigen Praxis erfolgen Chiffriening/De- 
chiffrierung und SchlOsselgeneriening bei der Tfechnologie 
mit symmetrischem Schliissei wesentlich schneller als bei 
der asymmetrischen Ibchnologie mit dfifentlichem SchlQs- 
seL 

Daten werden normalerweise mit einem nacb dem Zih 
fallsprinzip generierten symmetrischen Schliissei chiflViert. 
Dann wird der symmetrische Schliissei selber mit dem 6f- 
fentlichen Chiffrierschlilssel des Benutzers chiffriert und 
mit dem Dokument gespeichert, so dass er Ibil des Doku* 
ments wird. 

In Fig. 3 wird das chif&ierte Dokument und die eiektroni- 
sche Signatur zum Zweck der Aufbewahrung an den TVesor 
des Anwendungsservers gesendet (Block 306). Nach Emp- 
fang des cbif&ierten Dokuments (Block 308) beglaubigt dde 
im Tresor des Anwendungsservers laufende Anwendung die 
Signatur (Block 310), indem sie mit ihrem dgenen privaten 
Signierschliissel noch einmal signieit 

Die Beglaubigung einer Signatur in einem elektronischen 
Kontext bedeutet, dass eine diitte Partei, die als "Notar" fiin- 
gieit, den Inhalt einer Signatur zertifiziert (Die Begrifife 
"Notar" und "beglaubigen" baben in dieser Spezifikation 
nicht den voUen Bedeutungsumfang aller Pflichten die ei- 
nem Notarial von einer Regierungsbehorde Ubertragen wer- 
den.) AUgemein erfolgt eine elektronische Beglaubigung ei- 
ner Signatur als zusStzliche VorsichtsmaBnahme, um eine 
spatere unberechtigte Anderung der Signatur zu verhindem. 
Im Fall der vorliegenden Erfindung verhindert die Beglaubi- 
gung einer digitalen Signatur des Benutzers, dass dieser das 
Originaldokument im Dokumentarchiv ersetzt oder andert. 
Eine PrOfung der beglaubigten Signatur des Dokuments 
wiirde jegliche Inkonsistenz ans I^geslicht bringen. 

Eine beglaubigte elektronische Signatur endiMlt zwei In- 
formationen, namlich die Signatur des betreffenden Daten- 
elements dutch den Uifaeber und die Signatur der Uihebersi- 
gnatur durch den Notar. Die Signatur des Notars sollte Ober 
die Urhebersignatur und den aktuellen Zeitstempel berech- 
net werden. 

Die Anwendung, die im Itesor des Anwendungsservers 
lauft, signiert dann das von ihr empfangene Dokument 
(Block 312). Da die Daten, die er vom Dokumenturheber 
empfangt, chiffriert sind, kennt der Anwendungsserver fak- 
tisch den Inhalt des Dokuments nicht. Deshalb wird gemaB 
der Erfindung diese zweite Signatur Uber das chifirierte Do- 
kument und die beglaubigte Urhebersignatur berechnet. Die 
Signatur des Anwendungsservers stellt einen Empfangsbe- 
weis dar, der dem Dokumenturheb^ (demjenigen, der das 
Dokument deponiert), beweist, dass der Archivdienst das 
Dokument empfangen hat. Die Erstellung des Dokuments 
im Archiv kann dann spater nicht mehr vom Archivdienst 
geleugnet werden. 

Das chifFrierte Dokument, die beglaubigte Urhebersigna- 
tur und der Empfangsbeweis werden im Archiv des Anwen- 
dungsservers Oder in der Anwendungsdatenbank gespei- 
chert (Block 314). Der Empfangsbeweis wird an den TYesor 
des Dokumenturhebers gesendet (Block 316). Der Tresor 
des Dokumenturhebers priift die Richtigkeit des Empfangs- 
beweises (Block 318), indem die Signatur des chiffrieiten 
Dokuments QberprQft wird. Der lYesor des Dokumenturhe- 
bers priift auch die Aktualitat des Zeitstempels in der be- 
glaubigten Signatur (Block 320). Die Toleranz f\ir den Zeit- 
stempel hangt von der Anwendung ab. Wenn bei einer dieser 
Priifiingen ein Fehler erkannl wird, wird eine Fehlermel- 
dung an den AS-Tresor gesendet (Block 322) und im Sy- 
stem protokolliert. Wenn der Empfang korrekt und aktueil 
ist, sendet die Anwendung, die im TVesor des Benutzers 
lauft, den Empfangsbeweis an den verursachcnden Benutzer 
zurtick (Block 324), damit sie fiir eine spatere Referenz in 



dnem iokalen C^he gespeichert wird, falls bewiesen wer- 
den muB, dass das Dokument im Archiv gespeichert werden 

ist 

Es ist m6glich, dass der Dokumenturheber das Dokument 
S mit einem eigenen Verfahren signieren und/oder chif&ieren 
kann, bevor er es zur Speicbening in seinen IVesor sendet 
Das Dokumentarchiv beachtet den Inhalt des zu speichem- 
den Dokuments aber nicht Ein chififriertes Dokument wird 
deshalb vom IVesor des Benutzers emeut signiert und chif- 

10 firiert,wiejedesandere Dokument 

Fig. 4 ist ein FluBdiagramm, in dem dargestellt ist, welche 
Schritte gemSfi der bevorzugten Ausfuhiungsform der Erfin- 
dung ausgefuhrt werden miissen, damit das Dokument von 
einem anfordemden Benutzer abgerufen werden kann, der 

15 unter einem von Dokumenturheber verwaltelen Nachweis- 
typ, der als Zugriffskontroll-Liste (ACL) bezeichnet wild, 
autorisiert worden ist Wie in Fig. 3 sind die Verfahrens- 
schritte zwischen drei Aktoren, namlich Benutzer, Anwen- 
dungsserver und Anforderer, aufgeteilt, auf der Basis, dass 

20 deren personliche IVesore im Prinzip sichere Erweiterungen 
ihrer betreffenden Arbeitsbereiche sind. 

In Fig. 4A stellt der Benutzer an seine TVesoranwendung 
eine Anforderung, ein Dokument aus dem Anwendungsser- 
verarchiv abzurufen (Block 400), und seine TVesoranwen- 

25 dung sendet dann ihrerseits die Dokumentabrufanforderung 
an den Anwendungsserver-Tresor (Block 402). 

Die TVesoranwendung des Anwendungsservers empfangt 
die Zugriffsanforderung (Block 404) und ruft das chiffiierte 
Dokument und die beglaubigte Signatur aus der Anwen- 

30 dungsdatenbank ab. 

Die Tresoranwendung des Anwendungsservers sendet 
das chiffrierte Dokument und die beglaubigte Signatur an 
den Tresor des Dokumenturhebers. Der Tksot des Anwen- 
dungsservers sendet auch die IdentitSt des anfordemden Be- 

35 nutzertresQrs an den Tresor des Urhebers (Block 408). 

Der TVesor des Urhebers priift, ob der anfordemde Benut- 
zer die Berechtigung zum Abrufen des Dokuments besitzt 
(Block 410). In dor bevorzugten Ausfiihrungsform wird die 
DokumentzugriffskontroUe durch Zugriffskontroll-Listen 

40 aktiviert, mit denen der ZugrifF auf das Dokument auf auto- 
risierte Stellen beschrankt wird. Bine i&jgriffskontroil-Liste 
(ACL) ist einem Dokument zugeordnet und wird im TVesor 
des Dokumenturhebers gespeichert und verwaltet wie weiter 
unten im Zusammenhang mit Fig. 5A und Fig. 6 beschrie- 

45 ben. Die ACL muB gepriift werden, wenn ein Benutzer eine 
Dokumentabrufanforderung sendet Ein anfordemder Be- 
nutzer erhMlt nur eine Kopie des Dokuments, wenn er das 
Zugriffjsrecht besitzt. 
In der bevorzugten Ausfiihrungsform der Erfindung kon- 

50 nen Fahigkeitslisten benutzt werden, damit anfordemde Be- 
nutzer ihr Zugriffsrecht auf Dokumente im voraus verifizie- 
ren konnen. In einer Fahigkeitsliste sind alle Dokumente in 
einem Archiv aufgefuhrt, fiir die ein bestimmter Benutzer 
das Zugriffsrecht besitzt Die Fahigkeitsliste eines anfor- 

55 demden Benutzers wird in seinem eigenen TVesor gespei- 
chert und verwaltet Der Anfordemde braucht nur diese Li- 
sle durchzusehen, um festzustellen, auf welche Dokumente 
er zugreifen kann. Verwendung und Verwaltung der I^g- 
keitslisten werden im Zusammenhang mit Fig. SB ausftihr- 

60 licher beschrieben. 

Wenn der anfordemde Benutzer keine Zugriffsberechti- 
gung auf das Dokument besitzt, wird eine Fehlermeldung an 
den Urheber gesendet und im System protokolliert (Block 
414). 

65 In Fig. 4B wird, wenn der anfordemde Benutzer die Zu- 
griffsberechtigung fiir das Dokument besitzt, das Dokument 
von der TVesoranwendung des Urhebers dechiffriert (Block 
416) und die beglaubigte Signatur uberprUft (Block 418). Da 
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die Originalsignatur des Urfaebers iiber den unchif^eiten 
Dokumentinhalt berechnet wuide, konnen nur diejenigen 
Benutztf, die auf den Dokumentinhalt zugreifen kdnnen 
(d. h. die den privaten Schltissel des Urhebers besitzen), die 
Signatur priifen. Wenn die empfangene Signatur nicht dem 
entspricht, was der Dokumenturheber in seinen eigehen Da- 
teien stehen hat, ist klar, dass es sich nicht um dieselbe Ver- 
sion des Dokuments handelt, die deponiert wurde, und der 
Urheber sendet eine Fehlemachricht an den Anwendungs- 
server (Block 420). 

Wenn die Signatur gepriift worden ist, sendet der Urheber 
das dechif&ierte Dokument und die beglaubigte Signatur an 
den Tresor des anfordemden Benutzers (Block 422). 

Nach Empfang des dechiffiierten Dokuments versucht 
die Tresoranwendung des anfordemden Benutzers, die be- 
glaubigte Signatur des Urhebm zu prOfen (Block 424). 
Wenn der anfordemde Benutzer sie nicht verifizieren kann, 
wird eine Fehlermeldung an den Urheber gesendet und im 
System protokolliert (Block 426). 

Wenn die beglaubigte Signatur des Urhebers verifiziert 
werden kann, signiert der TVesor des Anfordemden die mit 
dem Dokument empfangene beglaubigte Signatur. Diese Si- 
gnatur wird iiber die beglaubigte Signatur und uber den ak- 
tuellen Zeitstempel berechnet und stellt einen Zustellungs- 
beweis dar (Block 428), der belegt, dass der anfordemde Be^ 
nutzer das Dokument aus dem Archiv abgerufrai hat. Der 
lYesor des Anfordemden sendet das dechiffrierte Dokument 
zusammen mit dem von ihm generieiten Empfangsbeweis 
an den Arbeitsplatz des Anfordemden (Block 430). Der IVe- 
sor des Anfordemden sendet auch den Empfangsbeweis an 
den Anwendungsserver-Tresor (Block 432). Der Anwen- 
dungsserver verifiziert die Signatur des Anforderertresors 
auf dem Empfangsbeweis (Block 434). Wenn die Signatur 
nicht verifiziert werden kann, wird eine Fehlermeldung an 
den Urheber gesendet und im System protokolliert (Block 
436). Wenn die Signatur verifiziert werden kann, speichert 
der Anwendungsservertresor den Beweis in den Anwen- 
dungsdatenbank, falls der Anwendungsserverspater nach- 
weisra muB, dass der Anfordemde das Dokument tatsSch- 
lich abgenifen hat. 

Unveranderlichkeit der Zugriffskontrolle fiir den Doku- 
mentabruf 

Wie bereits erwahnt besteht in einem Datenarchiv die 
Notwendigkeit eine Dokumentzugriffskontiolle. Dies be- 
deutet, dass nur die vom Dokumenteigner autorisierten Be- 
nutzer Einsicht in die Dokumente haben, und dass Doku- 
mentzugriffserlaubnisse nur vom Dokumenteigner (d. h, 
vom Urheber) selber und von den Personen, die vom Doku- 
menteigner die Berechtigung zum Andem der ZugrifTskon- 
troU-Liste fUr das Dokument erhalten haben, geandert wer- 
den konnen. Es ist wichtig, dass sichergestellt ist, dass selbst 
der Archiwerwalter nicht in der Lage ist, ohne Autorisie- 
mng durch den Dokumenteigner die 2^griffsberechtigungen 
fiir ein Dokument zu andem. 

Es gibt zwei verschiedene Arten von Anwendungsanfor- 
demngen fiir die Unveranderlichkeit der DokumentzugriflFs- 
kontrolle. Der Dokumentzugriff muB in folgenden Fallen 
gepriift werden: 

1) wenn ein Benutzer eine Suche durchflihrt, um alle 
Dokumente zu finden, fiir die er die Berechtigung zum 
Betrachten hat und 

2) wenn ein Benutzer tatsachlich ein Dokument abruft. 

Alle Anwendungen miissen die Zugriffskontrolle beim 
Dokumentabruf (Zugriffsart 2) erzwingen. Fiir diese Zu- 
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griffsart mufi das Archiv garandeien, dass die Zugriffskon- 
trolle eines Dokuments nicht von einem nicht autorisierten 
Benutzer, z. B. einem Konkurrenten, geandert werden kann. 
In einigen Anwendungen ist es aber nicht erforderiich, 

s dass ein Benutzer nicht das Dokument ab&agen kann, um 
festzustellen, welche Dokumente er betrachten darf. Dieses 
Wissen kann z. B. offline in geschaftlichen Besprechungen 
Oder telefonisch iibermittelt werden. In einem solchen Fall 
weiB der Benutzer bereits, auf welche Dokumente er zugrei- 

10 fen kann, und seine Kenntnis seines eigenen Dokumentzu- 
grifTs kann nicht von Aktionen des Archivs beeinflufit wer- 
den. 

Ein System, das die Unverand^lichkeit der Zugriffskon- 
trolle nur beim Dokumentabruf, aber nicht bei der Doku- 

15 mentsuche erzwingt, ist Gegenstand unserer gleichzeidgen 
Anmeldung mit dem Utel "System for Electronic Reposi- 
tory of Data Enforcing Access Control on Data Retrieval" 
(kanadische Palentanmeldung 2,256,934). Die diesem Sy- 
stem wird die ZugriffiskontroUinformation in der Datenbank 

20 bzw.. im Archiv des An wendungsservers gespeichert. 

Eine strengere Form der Unvea^derlichkeit der Zugriflfe- 
kontrolle, die dort verwendet werden soUte, wo Benutzer 
nicht iiber unabhangige Information iiber ihren Dokument- 
zugriff verfQgen, betrifit sowohl die Dokumentsuche als 

25 auch den Dokumentabmf. Fiir diese Forderung kann die Zu- 
griffskontrollinfomiation nicht in der Anwendungsdaten- 
bank gespeichert werden. Statt dessen wird sie im TVesor des 
Dokumenteigners gespeichert Dieses Schema ist Gegen- 
stand der vorliegenden Erfindung und wird durch die RuB- 

30 diagramme in Fig* 5 und Fig. 6 illustri^ und weiter unten 
beschrieben. 

In der vorliegenden Ausfiihrungsform ist jedem Doku- 
ment eine Zugriffskontroll-Liste (ACL) zugeordnet, die die 
Dokumentzugriffsberechtigung verschiedener Benutzer 

35 fesdegt. AuSerdem besitzt jeder Benutzer im System eine 
FUhigkeitsliste, in der alle gespeicherten Dokumente, von 
denen der Benutzer nicht der Bign^ ist, auf die er aber zu- 
greifen kann, identi&dert werden. 
Um die UnverSnderlichkdt zu garantierra, wird jede 

40 ACL im Tresor des Dokumenturhebm verarbeitet, wie in 
Fig. 5 A daigestellt, und parallel dazu wird jede Fahigkeits- 
liste im entsprechenden Benutzertresor verarbeitet wie in 
Fig. 5B dargestellL 

In Fig. 5A stellt der TVesor des Dokumenteigners nach ei- 

45 ner Aktualisierung einer ACL (Block 500) fest, welche Be- 
nutzer von der Anderung betroffen sind (Block 502), und 
eine Nachricht, in der die Art der Zugriffsandemng (Hinzu- 
fUgung, Erweiterung oder Beschrankung) angegeben wird, 
wird im IVesor jedes Benutzers deponiert, dessen Zugrifis- 

50 recht auf das Ddoiment geMndert worden ist (Block 504). 
Jeder ACL ist eine Versionsnununer und ein Zeitstempel 
der letzten Andemng zugeordnet. Der TVesor des Doku- 
menteigners erh5ht dann inkrementell die Versionsnununer 
der ACL (Block 506) und ersetzt deren alien Zeitstempel 

55 durch den aktuellen Zeitstempel (Block 508). Aus der aktu- 
ellen Versionsnununer und dem 2^itstempel, die der ACL 
jetzt zugeordnet sind, wird ein Token, das die Unverander- 
lichkeit der ACL garantieren soil, erstellt und vom Tresor 
des Dokumenturhebers signiert (Block 510). Die ACL wird 

60 ebenfalls vom Ttesor des Dokumenturhebers signiert (Block 
512). 

Das ACL-lbken wird dann an den IVesor jedes zum Zu- 
griff auf das Dokument berechtigten Benutzers gesendet, wo 
es zur Speicherung mit der Zugriffsanwendung des Benut- 
65 zers auf dessen Arbeitsplatz gespeichert wird (Block 514), 
damit eine spatere Verifizierung der ACL mdglich ist. Das 
signierte Token wird zur Speicherung an den Arbeitsplatz 
des DokumenUirhebers gesendet (Block 516). Da der Doku- 
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menturheber eine Kopie des signierten Tokens besitzt, wird 
er letztlich zuin Aibiter daruber, ob die Dokument-ACL ak- 
tuell ist Oder nicht 

Wenn ein GeschSftspartner ein Dokument abnifen 
m5chte, sendet die AS-lVesoranwendung das chififrieite Do- 
kument wie oben beschrieben an den Ibesor des Urhebers 
(Block 408 in Fig. 4A). Um die Berechtigung des Anfor- 
demden zu verifizieren (Block 412 in Fig. 4A), schaut der 
TVesor des Dokumenturhebers einfach in der lokal gespei- 
cherten verifizierten ACL nach, ob der Anfordemde das Zu- 
griffsrecht auf das angegebene Dokument besitzt. Mit die- 
sem Verfahren kann demand die in der Anwendungsdaten- 
bank gespeicherte ACL andem^ ohne dass dies vom TVesor 
des Dokumenturhebers bemerkt wird. 

Wie oben beschrieben besitzt jeder Benutzei; der Eigner 
von Dokumenten im Archiv ist, auf seinem Arbeitsplatz die 
signierten Tbkens der korrekten Version jeder ACL. Die 
ACL- Versionen im Benutzertresor werden verifiziert, indem 
das auf dem Arbeitsplatz des Benutzers gespeicherte Tbken 
mit dem im Benutzertresor gespeicherten veiglichen wird. 
Dieser Vergleich kann zu verschiedenen Zeiten ausgefUhrt 
werden; eine gute Gelegenheit zur Verilizierung der in ei- 
nem Benutzertresor gespeicherten ACLs ist das Logon, so 
dass jedesmal, wenn sich ein Benutzer beim System anmel- 
det, die ACLs verifiziert werden. 

Wenn die Verifizierung der ACL nicht gelingt, kann die 
Benutzertresoranwendung automatisch die Veraibeitung 
jeglicher Anforderung, ein von der ACL geschiitztes Doku- 
ment abzurufen, einstellen. Dieser Zustand der Unverander- 
lichkeit des Dokuments wurde weiterbestehen, bis der Be- 
nutzer entweder eine neue ACL erstellt oder die vorhandene 
ACL neu zertifiziert. Der ProzeB der Rezertifizierung der 
vorhandenen ACL wiirde die Synchronisierung des im Be- 
nutzertresor gespeicherten ACLrTokens mit dem auf dem 
Arbeitsplatz des Benutzers gespeicherten Token einschlie- 
Ben. 

Bei jeder Aktualisierung einer ACL werden parallel zu 
den in Fig. 5 A aufg^hrten Schritten einige andeie Schritte 
ausgefiihrt. Diese zusatzlichen Schritte sind in Fig. 5B dar- 
gestellt. 

Jeder Benutzertresor ist fur die Verwaltung einer Fahig- 
keitsHste zustandig, die eine Auflistung aller Dokumente, 
auf die der Benutzer zugreifen darf, enthalt Die Aktualitat 
der Fahigkeitsliste selber wird durch eine Versionsnummer 
und einen neuesten Zeitstempel identifiziert. Wenn eine 
Nachricht, die eine Anderung der ZugriflFsmogliclikeit eines 
Benutzers auf ein Dokument (eine Aktualisierung einer Do- 
kument-ACL) mitteilt, im Tresor des Benutzers eingeht 
(Block 520), wird die Fahigkeitsliste im IVesor des Benut- 
zers automatisch mit Versionsnummer (Block 522) und 
neuestem Zeitstempel (Block 524) aktualisiert. tiber die 
Versionsnummer und den Zeitstempel (Block 526) wird ein 
Token berechnet, das zur Verifizierung der Richtigkeit der 
Fahigkeitsliste verwendet werden kann. Das Tbken wird 
vom TVesor des Benutzers signiert (Block 528), und die Fa- 
higkeitsliste ebenfalls (Block 530). Das signierte Token und 
die signierte Fahigkeitsliste werden im TVesor des Benutzers 
gespeichert (Block 532), der Tresor des Benutzers bewahrt 
aber die alte Fahigkeitsliste und ihr Token auf, da das Token 
fiir die alte Fahigkeitsliste dem auf dem Arbeitsplatz des Be- 
nutzers gespeicherten Token entspricht, bis eine Aktualisie- 
rung voigenommen werden kann. 

Eine Mdglichkeit zur Synchronisation der aktuellen Fa- 
higkeitsliste mit dem auf dem Arbeitsplatz gespeicherten 
Token des entsprechenden Benutzers besteht darin, dies au- 
tomatisch zu tun, wenn sich der Benutzer beim System an- 
meldet (Block 532). Die Richtigkeit des Tokens auf dem Ar- 
beitsplatz des Benutzers kann mit dem im lYesor des Benut- 



zers aufbewahrten alten Ibken verglichen werden, und dann 
kann das aktualisierte Ibken an den Arbeitsplatz des Benut- 
zers gesendet werden (Block 534). Sobald das alte Ibken 
auf dem Arbeitsplatz des Benutzers ersetzt worden ist, kann 

5 die alte Fahigkeitsliste und ihr Token aus dem Tresor des 
Benutzers gel5scht werden. 

Eine andere Alternative zur Aktualisierung des Tokens 
der Fahigkeitsliste auf dem Arbeitsplatz des Benutzm 
(nicht dargestellt) zu aktualisieren, ware, dass der Benutzer 

10 die Initative ergreifen muB, um Aktualisierungen der Fahig- 
keitsliste seit seiner letzten Anmeldung beim System festzu- 
stellen. 

Um die 2^sammengehorigkeit von ACLs und den Fahig- 
keitsiisten sicherzustellen, muB die Umgebung, auf der das 

IS System basiert (z. B. das Produkt IBM Vault Registry) eine 
garantierte Nachrichtenzustellung filr Nachrichten, die von 
einem IVesor in einem anderen deponiert werden, bieten. 
Die Garantie der Zustellung einer Fahigkeitsliste kann auch 
durch die Anwendung erfolgen, indem z. B. eine Bestati- 

20 gung von dem Benutzer, der die Aktualisierung empfangt, 
gefordert wird. 

Als Resultat dieses Schemas werden ACL und Fahig- 
keitsliste von ihren Eignem gespeichert. KeinePartei im Sy- 
stem kann die ZugriffskontroU-Liste eines Dokuments Sn- 

2S dera, ohne dass der Dokumentdgner dies er^hrt AuBerdem 
kann keine Partei im System das "^sen eines Benutzers 
tiber sein Zugrififsrecht auf ein Dokument (d. b. eine Fahig- 
keit) andem, ohne dass der autorisierte Benutzer dies be- 
merkt. 

30 Im Gegensatz zu dem ZugrifFskontrollschema, das in im- 
serer oben genannten, gleichzeitig anhangigen Anmeldung 
beschrieben wird, wo die Suche im IVesor des Anwendungs- 
servers stattfindet, erfolgt in der vorliegenden Erfindung die 
Suche nach Dokumenten, fur die ein Benutzer die Zugriffs- 

3S berechdgung besitzt, in der 'nesoranwendung des Benutzers 
selber. 

Zuordnung von Eignerzugriffsrechten 

40 In manchen Umgebungen muB der Dokumenteigner die 
Moglichkeit haben, einer anderen Person die Erlaubnis zum 
Andem der ZugrifFsliste des Dokuments zu erteilen. Zum 
Beispiel wenn der Eigner nicht da ist, kann ein anderer auto- 
risierter Benutzer in der Lage sein, die Zugriifskontrolie fiir 

45 das bestimmte Dokument zu aktualisieren. 

In einer bevorzugten Ausfuhrungsform der Erfindung 
kann die Aktualisierung von ACLs oder Fahigkeitslisten 
von anderen Benutzem im System duichgefiihrt werden, in- 
dem die in Fig. 6 daigestellten Schritte ausgefiihrt weiden. 

50 Zum Beispiel wenn eine Aktualisierung der ACL ver- 
sucht wird, muB der Benutzer, der die Aktualisierung vor- 
nimmt, in der Lage sein, das aktuelle signierte Ibken fiir die 
ACL vorzulegen (Block 600). Das signierte Token wird zum 
Tresor des Benutzers gesendet (Block 602), der das signierte 

55 Token an den Tresor des Urhebers ubergibt (Block 604). 
Wenn dem aktualisierenden Benutzer in der ACL dieses Do- 
kuments keine Eignerzugriffsrechte zugewiesen worden 
sind, dann erkennt der IVesor des Dokumenteigners dies, 
und er verweigert die Aktualisierung und sendet eine Feh- 

60 lermeldung an den IVesor des Benutzers (Bldcke 606 und 
608). 

Wenn der TYesor des Urhebers das ZugrifTsrecht des si- 
gnimnden Benutzers auf das Dokument v^fizieren kann, 
und wenn festgestellt wird, dass die Versionsnummer und 
65 der 2^itstempel des ACL-Tokens aktuell sind (Block 606), 
wird die ACL aktualisiert (Block 610), und ein neues Token 
wird generiert und signiert (Block 612) und im Tresor des 
Urhebers gespeichert (Block 714). Das neu signierte Token 
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wird an den IVesor des Dokumenturhebers gesendet (Block 
616). Der TVesor des Aktualisierenden sendet das neue lb- 
ken zur Speicherung an dessen Arfoeitsplatz zurtick (Block 
618). Das neu signierte Tokod kann optional auch zur Spei- 
cherung im Archiy an den IVesor des Anwendungsservers S 
gesendet werden (Block 620). 

Dieses Verfahren verlangt, dass zu jedem Zeitpunkt nur 
eine einzige Person eine ACL-Aktualisiening durchfUhrt. 
Wenn zum Bdspiel ein Dokumenteigner John Urlaub 
nimmt, kann er einer Mitarbeiterin Mary erlauben, die ACL lO 
seines Dokuments in seiner Abwesenheit zu aktualisieien, 
indem er Mary sein aktuelles Tbken fiir die ACL des Doku- 
ments gibt Mary fiihrt dann eine ACL-Aktualisierung 
durch, indem sie das Token durch ihren Tksot John's IVesor 
vorlegt. Mary empfangt das neu signierte Ibken fiir die ACL is 
und gibt es John bei seiner RUckkehr wieder zuiiick. Nach 
der Installation des neuen Tokens kann John selber eine 
ACL-Aktualisiening vomehmen. 



Datensicherung und -wiederheistellung 



20 



Gelegentlich kann es notwendig sein, dass der Verwalter 
des Dokumentarchivs die Dokumentdatenbank aus einem 
vorherigen Backup wiederhorstelit Dies kann beispiels- 
weise bei einem katastrophalen Datenbankfehler, z. B. bei 2S 
einem Festplattendefekt, der Fall sein. 

Die zu sicheroden Daten sind die Dokumente selber, die 
ACLs (entweder in der Anwenderdatenbank oder in den 
Eignertresoren gespeichert), die Fahigkeitenlisten (fiir die 
Systeme, in denen sie implementiert sind, wie oben be- 30 
schrieben), und die Verifikationstokens von ACLs und Fa- 
higkeitslisten. 

Nach einer Ruckspeicherung der Daten konnen Aktualie- 
rungen, die nach der letzten Sicherung vorgenommen wur- 
den, verloren gegangen sein. Fiir die Zwecke der vorliegen- 35 
den Erfindung konnte es sich dabei auch urn ACL- und Far 
higkeitslisten-Aktualisierungen handeln. Wenn dies ge- 
schieht, stinmien die auf den Benutz^rarbeitsplatzen gespei- 
cherten Verifizierungstokens mdglicherweise nicht mehr mit 
den Tokens in den entsprechenden TVesoien uberein, so dass 40 
die Benutzer keinen Zugriff mehr haben. Deshalb wurde als 
Standard fiir die Datenwiederherstellung in verschiedenen 
Situationen das folgende System implementiert. Es wird an- 
genommen, dass die Sicherung zum Zeitpunkt ZEITl er- 
folgte, und die Ruckspeicherung zu einem spateren Zeit- 45 
punkt ZEIT2. Wenn eine volistandige Ruckspeicherung der 
Dokumentdatenbank, der ACLs, der FShigkeitslisten und 
der entsprechenden in den Tresoren gespeicherten Tokens 
durchgefiihrt wird, konnen die Benutzer, die vor ZEITl auf 
ein Dokument zugreifen konnten, dies auch nach ZEIT2 Uin. 50 
Dies bedeutet, dass wenn dn Benutzer vor ZEITl berecbtigt 
war, die Berechtigung aber zwischen ZETTl und ZEIT2 wi- 
derrufen wurde, dieser Benutzer deimoch auf das Dokument 
zugreifen kann, bis der Eigner des Dokuments das ACL-Tb- 
ken priift. Nach einer voUstandigen Datennickspeicherung 55 
soUten deshalb alle Benutzer eine PrQfiing der ACL und der 
Fahigkeitsliste durchfiihren. 

Wenn nur die Dokumentdatenbank zuriickgespeichert 
wurde und die ACLs, die Fahigkeitslisten und die in den 
Tresoren gespeicherten Tokens unberiihrt geblieben sind, 60 
k6nnen Benutzer feststellen, dass sie das Zugrififsrecht fiir 
ein Dokument besitzen, das gar nicht in der Datenbank ge- 
speichert ist, da das Dokument nach ZETTl hinzugefUgt 
wurde, aber nachher bei der Ruckspeicherung der Daten- 
bank verloren gegangen ist. Da alle Ibkens aktueil sind, gibt 65 
es keine weiteien Anomalien. 

Ein anderer Fall liegl vor, wenn in einem System keine 
Fahigkeitslisten benutzt werden, die ACLs aber in der An- 



wendungsdatenbank gespeichert werdra. Wenn die Doku- 
mentdatenbank und die ACL zunickgespeichert worden 
sind, wahrend die in den Ibesoren gespeicherten Ibkens 
nicht zurackgespeichert v^urden, stellen die Benutzer fest, 
dass aUe Dokumente, deren ACL nach ZEITl geandert wur- 
den, nicht mehr zuganglich sind. Dies kommt dahei; dass die 
ACL-Tokens in der An wendungsdatenbank nicht mit den in 
den Tresoren der einzelnen Eigner gespeicherten Tokens 
tiberdnstimmen. Um dieses Problem zu losen, miissen alle 
Dokumenteigner die ACLs aktualisieren. Eine Moglichkeit 
dazu ist, dass der Verwalter die alten ACLs (die zu ZETTl in 
Kraft waicn), den Dokumenteignem sendet und sie bittet, 
die entsprechenden Tokens in ihren Tresoren neu zu instal- 
lieren. Diese Aktualisierung wird manuell, nicht automa- 
tisch, vorgenommen, und die Dokumente eines Eigners sind 
unzuganglich, bis er die Aktualisierung durchgefiihrt hat. 

In Situationen, in denen Datenbankinkonsistenzen ver- 
mieden werden miissen, karm der Archivverwalter nach ei- 
ner ROckspeicherung den Zugriff auf alle Dokumente sper- 
ren, bis der Urheber Fehlerbehebungsmafinahmen eigriflfen 
hat Diese Sperre kann fiir alle Dokumente im Archiv gelten 
Oder nur fiir einen Teil der Dokumente, bei denen die Konsi- 
stenz am kritischsten ist In diesem Fall muB man sich auf 
den Archivverwalter veriassen, um die Konsistenz des Sy- 
stems zu wahren. Wie berdts erwahnt hat der Verwalter aber 
in keinem Fall die Mdglichkeit, Benutzerzugriffsrechte auf 
dn Dokument zu erteilen oder zu widerrufen. 

In der obigen Beschreibung wurden bevorzugte Ausfiih- 
rungsformen der vorliegenden Erfindung mittels des Pro- 
dukts IBM Vault Registry beschrieben. Dem Fachmann ist 
aber klar, dass die vorliegende Erfindung auch mit andeien 
Produkten, die uber ahnfiche Funktionen verfiigen, imple- 
mentiert werden konnte, z. B. mit sicheren Uiesorahnlichen 
Umgebungen, die sich lokal auf dem Arbeitsplatz der ein- 
zelnen Benutzer befinden. Solche und andere Abwandlun- 
•gen, die fUr den Fachmann offensichtlich sind, soUen eben- 
falls unter den Schutzumfang der beigefugten Anspriiche 
fallen. 

Patentanspriiche 

1. Ein sicheres System zum Suchen von elektroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 
dne Kommunikationsumgebung mit 

(i) einem ersten Agentenprogramm fUr einen 
Computer, der eine elektronische Datendatei im 
Datenarchivsystem deponiert, und 

(ii) dnem zweiten Agentenprogramm fUr einen 
ersten Benutzercomputer mit Zugrififsrecht auf die 
elektronische Datendatei; 

einer Nachweisliste fiir die elektronische Datendatei, in 
der ZugriffskontroUen fiir die elektronische Datendatei 
aufgefuhrt sind, wobei die Nachweisliste fur das «rste 
Agentenprogramm zuganglich ist und von diesem ver- 
waltet wird; 

dne erste Aufzeichnung der Zugriffsrechte des ersten 
Benutzercomputers auf die elektronische Datendatei, 
wobei die erste Auteichnung fiir das zweite Agenten- 
programm zuganglich ist und von diesem verwaltet 
wird; 

Mittel, um Anderungen an der Nachweisliste, die die 
Zugriffsrechte des ersten Benutzercomputers auf die 
eldctronische Datendatd betreffen, vom ersten Agen- 
tenprogramm an das zweite Agentenprogramm zu sen- 
den, um die ^ste Aufzeichnung zu aktualisieren; und 
Mittel, mit denen das erste Agentenprogramm die Zu- 
griffsrechte des ersten Benutzercomputers auf die elek- 
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tronische Datendatei priifen kann, bevor die elektroni- 
sche Datendatei fiir das zwdte Agentenprograinin firei- 
gegeben wild. 

2. Das sichere System nach Anspnich 1, wobei das er- 
ste AgeDtenprogramm eine sichere Erweiterung des de- 5 
ponierenden Computers und das zweite Agentenpro> 
gramm eine sichere Erweiterung des ersten Benutzer- 
computers ist. 

3. Das sichere System nach Anspruch 2, das auBerdem 
Mittel besitzt, um die Andeningen 6er Nachwdsliste, lO 
die die Zugrififorechte des ersten Benutzercomputers 
auf die elektionische Datendatei betreffen, vom zwei- 
ten Agentenprogramm an den ersten Benutzeroompu- 
ter zu senden. 

4. Das sichere System nach Anspruch 1 oder 2, das au- 15 
Berdem folgendes unifaBt: 

ein drittes Agentenprogramm fur einen zweiten Benut- 
zercomputer mit Zugriffsrecht auf die elektionische 
Datendatei; und 

eine zweite Aufzeichnung der Zugiiffsrechte des zwei- 20 
ten Benutzercomputers auf die elektronische Datenda- « 
tei, wobei die Aufzeichnimg fiirdas dritte Agentenpro- 
gramm zuganglidi ist und von diesem verwaltet wird, 
und wobei das Mittel um die Anderungen an der Nach- 
weisliste, die die Zugriffsrechle des ersten Benutzer- 25 
computers auf die elektronische Datendatei betrefifen, 
zur Aktualisierung der ersten Aufzeichnung an das 
zweite A|entenprogramm zu iibotragen, Mittel um- 
fafit, um Anderungen an der Nachweisliste, die die Zu- 
griffsrechle des zweiten Benutzercomputers auf die 30 
elektronische Datendatei betreffen, zum Aktualisieren 
der zweiten Aufzeichnung vom ersten Agentenpro- 
gramm an das dritte Agentenprogramm zu iibertragen; 
und 

wobei das MitteU mit dem das erste Agentenprogramm 35 
die Zugriffsrechte des ersten Benutzercomputers auf 
die elektronische Datendatei verifiziert, bevor die elek- 
tronische Datendatei fur das zweite Agentenprogramm 
freigegeben wird, ein Mittel umfaBt, mit dem das erste 
Agentenprogramm die Zugriffsrechte des zweiten Be- 40 
nutzercomputers auf die elektionische Datendatei veri- 
fiziert, bevor die elektronische Datendatei fiir das dritte 
Agentenprogramm freigegeben wird. 
, 5. Das sichere System nach Anspruch 4, wobei das 
dritte Agentenprogramm eine sichere Erweiterung des 45 
zweiten Benutzercomputers ist 

6. Das sichere System iiach Anspruch 5, das auBerdem 
Mittel besitzt, um die Anderungen der Nachwdsliste, 
die die Zugriffsrechte des zweiten Benutzercomputers 
auf die elektronische Datendatei betreffen, vom dritten 50 
Agentenprogramm an den zweiten Benutzercomputer 

zu senden. 

7. Das sichere System nach Anspruch 2 oder 5, wobei 
die Kommunikationsumgebung einen Server umfaBt 

8. Das sichere System nach Anspruch 1, 2 oder 5, das 55 . 
auBerdem in der Kommunikationsumgebung eine 
Schnittstelle zum Datenaichivsystem umfaBt, die daran 
angepafit ist, alle Dbertragungen zwischen dem Daten- 
archivsystem und dem Agentenprogramm zu empfan- 
gen. 60 

9. Das sichere System nadi Anspruch 8, wobei die 
Schnittstelle eine sichere Erweiterung des Datenar- 
chivsystems ist. 

10. Ein Verfahren fiir die Verwaltung eines sicheren 
elektronischen Datensuchsystems fur ein elektroni- 65 
sches Datenarchiv, wobei das System eine Nachwdsli- 
ste, in der Zugriffsrechte auf die elektronische Daten- 
datei im Datenarchiv aufgefiihrt sind, und eine Auf- 
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zeichnung, in der Dokumentzugriffsrechte fiir jeden 
Computer mit Zugriff auf die im Archiv gespeicherten 
eldctronischen Daten aufgefiihrt sind, besitzt, wobei 
das Verfahren folgende Schritte umfaBt: 
Aktualisieren einer Nachweisliste fur eine im Archiv 
gespeicherte elektronische Datendatei; 
Identifizieren aller Computer, deren Zugriffsrecht auf 
die elektronische Datendatd von der Aktualisierung 
betroffen ist; 

Ubertragen der Zugriffsanderung an aile betioffenen 
Computer, 

Aktualisier^i dei Zugriffsrechtaufzeichnungen aller 
betroffenen Computer; und 

tJbertragen der aktualisierten Zugriflferechtaufzeich- 
nungen an die betroffenen Computer. 

11. Ein sicheres System zum Suchen von elektroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 

Mittel zum Verwalten eine Nachweisliste, in der Zu- 
griffskontrollen fiir jede im Datenarchivsystem gespei- 
cherte elektronische Datei aufgefUhrt sind; 
Mittel zum Beschranken des Zugriffs auf jede Nach- 
wdsliste auf einen Computer mit Deponierungsberech- 
tigung; 

Mittel zum Verwalten dner Aufzeichnung, in der die 
Zugriffsrechte auf die elektronische Datendatei fur je- 
den Computer mit Zugriffsrecht auf mindestens eine 
elektronische Datendatei im Datenarchivsystem aufge- 
fiihrt sind; 

Mittel, um den Zugriff auf die Aufzeichnung auf den 
zugeh5rigen Computer mit Zugriffsrechten zu be- 
schranken; und 

Mittel zum Aktualisieren der Aufzeichnung fur jeden 
Computer, der von einer Zugriffsanderung in einer 
Nachweisliste betroffen ist 

12. Ein computeriesbarer Speicher zum Speichem der 
Instruktionen zur Verwendung bei der Ausfuhrung des 
Verfahrens nach Anspruch 10 auf einem Computer. 
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□ black BORDERS 
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□ OTHER: _^ 
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